本文主要介紹:Windows 11:通過(guò)沙箱規(guī)避繞過(guò) Defender 貌似可以繞過(guò)Windows Defender��,允許惡意軟件躲避沙箱訪問(wèn)操作系統(tǒng)�����。一條信息引起了我的注意�,安全研究人員在其中概述了 Windows
Windows 11:通過(guò)沙箱規(guī)避繞過(guò) Defender
貌似可以繞過(guò)Windows Defender��,允許惡意軟件躲避沙箱訪問(wèn)操作系統(tǒng)��。一條信息引起了我的注意�,安全研究人員在其中概述了 Windows 11 的確切場(chǎng)景����。這是我目前所看到的。
安全研究人員選擇了 Windows 11 來(lái)測(cè)試 Windows Defender 的安全性��。目的是通過(guò)沙箱中的惡意功能突破被檢查的程序,該功能應(yīng)該精確地隔離該惡意代碼��。下一步是將惡意代碼中包含的先前加密的shell代碼寫(xiě)入內(nèi)存�����。如果成功���,則必須在暫停狀態(tài)下創(chuàng)建一個(gè)進(jìn)程�����,并且必須將內(nèi)存中已經(jīng)存在的 shell 代碼復(fù)制到分配的內(nèi)存區(qū)域���。
一旦掌握了這些步驟,就可以遠(yuǎn)程觸發(fā)相關(guān)流程并執(zhí)行 shell 代碼����。在上面的推文中,屏幕截圖顯示這些確切的步驟有效�����,并且 shellcode 能夠從 Windows 檢索數(shù)據(jù)并將其顯示在輸入窗口中���。
安全研究人員沒(méi)有提供有關(guān)他如何管理這些步驟的詳細(xì)信息�,但確實(shí)刪除了“它適用于 Meterpeter”的評(píng)論。Meterpreter 是 Metasploit 攻擊的有效載荷����,根據(jù)此頁(yè)面,并提供交互式 shell�。通過(guò)這個(gè)shell,攻擊者可以探索目標(biāo)計(jì)算機(jī)并執(zhí)行代碼��。Meterpreter 使用內(nèi)存 DLL 注入部署�,惡意代碼完全駐留在內(nèi)存中。沒(méi)有任何內(nèi)容寫(xiě)入硬盤(pán)驅(qū)動(dòng)器���,即它是無(wú)文件惡意軟件����。在原始版本中也沒(méi)有創(chuàng)建新進(jìn)程���,因?yàn)?Meterpreter 將自己注入到受感染的進(jìn)程中。從那里�,它可以遷移到其他正在運(yùn)行的進(jìn)程。這種攻擊的法醫(yī)足跡非常有限���。
您仍然可以了解到 Meterpreter 代表動(dòng)態(tài)可擴(kuò)展的有效負(fù)載����,它使用內(nèi)存中的 DLL 注入階段并在運(yùn)行時(shí)通過(guò)網(wǎng)絡(luò)進(jìn)行擴(kuò)展。Meterpreter 通過(guò) stager 套接字進(jìn)行通信并提供全面的客戶端 Ruby API��。它提供命令歷史記錄�����、選項(xiàng)卡完成���、通道等���。
Meterpeter 最初是由 skape 為Metasploit2.x編寫(xiě)的,通用擴(kuò)展已為 3.x 合并�����,目前正在為 Metasploit 3.3 進(jìn)行重構(gòu)�。服務(wù)器部分是用純 C 語(yǔ)言實(shí)現(xiàn)的,現(xiàn)在用 MSVC 編譯��,使其具有合理的可移植性��。客戶端可以用任何語(yǔ)言編寫(xiě)��,但 Metasploit 有一個(gè)功能齊全的 Ruby 客戶端 API����。
Metasploit是一個(gè)提供漏洞信息的計(jì)算機(jī)安全項(xiàng)目,可用于滲透測(cè)試和 IDS 簽名開(kāi)發(fā)�����。最著名的子項(xiàng)目是免費(fèi)的 Metasploit 框架��,這是一個(gè)針對(duì)分布式目標(biāo)開(kāi)發(fā)和執(zhí)行漏洞利用的工具��。其他重要的子項(xiàng)目包括 shellcode 存檔和 IT 安全研究����。
顯然,該項(xiàng)目中包含的框架和工具足以支持上述方法��,即突破 Windows Defender 沙箱��,然后環(huán)顧操作系統(tǒng)�����。然而����,安全研究員@an0n_r0 此后挺身而出并寫(xiě)道,他的動(dòng)機(jī)是在不使用框架的情況下啟用最小的繞過(guò)�����。使用的加載器很小�,是用 C 編寫(xiě)的。為了混淆��,加載器中的 shell 代碼實(shí)現(xiàn)了一個(gè)簡(jiǎn)單的 rc4 編碼�����。實(shí)際繞過(guò)依賴于基本的用戶名檢查�。為防止被 Defender 檢測(cè),如果當(dāng)前用戶名不是目標(biāo)�,則不會(huì)對(duì) shell 代碼進(jìn)行有效的 rc4 解密。
目前�,還沒(méi)有已發(fā)布的概念代碼證明——但推文顯示,即使是這個(gè)安全的 Windows 11 也可能使用最簡(jiǎn)單的方法通過(guò) Defender 進(jìn)行攻擊��。另一位安全研究人員宣布他正在研究類似的東西,并計(jì)劃在 2021 年 10 月底發(fā)布詳細(xì)信息���。
![[行車記錄儀] 如何查看和](http://www.laotiku.cn/uploads/allimg/c170705/14c25P4a4940-163b3_lit.jpg)
鄂公網(wǎng)安備42118102000349